Azure AD Seamless SSO - msDS-SupportedEncryptionTypes - 27.11.2022 | ||||||
Seamless SSO Verschlüsselung Standardmäßig definiert Azure AD Connect bei Aktivierung der Seamless SSO Funktion die Schlüsselstärke für die Kerberos-Token nicht. Da ich den Wert jedes Mal suche ;) hier nun nochmal in dokumentierter Form: Der Wert wird bei dem Attribut "msDS-SupportedEncryptionTypes" des Computerobjekts "AZUREADSSOACC" angepasst:
siehe auch https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/decrypting-the-selection-of-supported-kerberos-encryption-types/ba-p/1628797 Nach dem Setzen wird ein Rollover des Keys empfohlen: siehe https://learn.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sso-faq#how-can-i-roll-over-the-kerberos-decryption-key-of-the--azureadsso--computer-account- Zusammenfassung:
Das Ergebnis lässt sich je nach Client prüfen, in dem man zunächst via "klist purge" die aktuellen Token löscht und nach Aufruf einer M365-Ressource nochmals via klist prüft ob unter "KerbTicket (Verschlüsselungstyp):" die entsprechende Verschlüsselung genutzt wird. | ||||||
MICROL!NC - URL zum Artikel: http://microlinc.homeip.net/index.php?lev1=36&lev2=3&id=454 - Ausdruck vom 20.04.2024 |